Сроки хранения персональных данных

Содержание

Срок действия согласия на обработку персональных данных не обязательно должен быть определен конкретной датой

JanPietruszka / .com

Арбитражные суды трех инстанций признали незаконным предписание Роскомнадзора указать срок действия письменного согласия на обработку персональных данных.

Разработанную экспертами компании «Гарант» форму согласия субъекта на обработку персональных данных можно найти в интернет-версии системы ГАРАНТ. Получите полный доступ на 3 дня бесплатно!

Напомним, что согласно ч. 4 ст. 9 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» в случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Такое согласие должно включать в себя в том числе срок, в течение которого оно действует, а также способ его отзыва, если иное не установлено федеральным законом.

В рассматриваемом случае в согласии было указано, что оно вступает в силу со дня его подписания и действует в течение неопределенного срока и может быть отозвано на основании письменного заявления в произвольной форме. Суды сочли это надлежащим исполнением вышеприведенного требования закона, поскольку данная норма не предусматривает указания в согласии конкретного срока, в течение которого оно действует. Предельный срок действия такого согласия также не установлен законодателем. В рассматриваемом случае срок действия согласия определен началом его действия (со дня подписания) и заканчивается моментом востребования — письменным отзывом в произвольной форме. Таким образом, срок действия согласий субъектов персональных данных на их обработку в любом случае ограничен действием самого субъекта персональных данных по представлению письменного отзыва ранее данного им согласия, в связи с чем указанный срок можно квалифицировать сроком, определяющим момент востребования.

Верховный Суд Российской Федерации оснований для пересмотра соответствующих судебных актов арбитражных судов не усмотрел (определение ВС РФ от 5 марта 2018 г. № 307-КГ18-101).

Согласие на обработку персональных данных граждан: законодательные требования к оформлению документа

Конституция РФ закрепляет право каждого гражданина на неприкосновенность частной и семейной жизни, конфиденциальный статус информации данного рода. Что касается общих персональных данных человека — сведений, которые непосредственно относятся к физическому лицу — на законодательном уровне утвержден специальный регламент их сбора, обработки, передачи и хранения с ведома и согласия их владельца. Особую важность в данных процедурах имеет такой документ, как письменное согласие на обработку персональных данных.

Согласие на обработку персональных данных: правовая суть документа

Письменное согласие на обработку персональных данных — это документ-разрешение, которое физическое лицо (сам субъект персональных данных) дает той или иной заинтересованной стороне для проведения процедуры сбора, передачи, хранения и использования в целевых нуждах информации о своей персоне. Применение данного документа регламентируется Законом “О персональных данных” (ФЗ №152-ФЗ от 27 июня 2006 года), 9 Статья которого декларирует его правовые особенности, а также порядок его составления.

Мнение юриста Дмитрий Иванов Центр правовой поддержки Задать вопрос юристу

Данная статья рассказывает о типовых способах решения вопроса, но каждый случай уникальный. Если вы хотите узнать, как решить именно Вашу проблему, звоните по телефонам:

  • Москва: +7 (499) 110-33-98.
  • Санкт-Петербург: +7 (812) 407-22-74.
  • Регионы: +7 (800) 600-36-17.

Или задайте вопрос юристу на сайте. Это быстро и бесплатно!

Речь идет о передаче следующей информации о субъекте:

  • ФИО, половая принадлежность, дата рождения, гражданство и пр., то есть — общие данные;
  • физиологические параметры субъекта — биометрические данные;
  • трудоустройство, вероисповедание, состояние здоровья и прочие сведения о личности — информация специального характера.

Важным будет заметить то, что персональное согласие на обработку личных данных необходимо даже в том случаях, если речь идет об общедоступной информации, то есть во всех случаях юридического взаимодействия с гражданином.

Одной из правовых особенностей данной бумаги является гарантия того, что заинтересованная сторона будет использовать предоставленные данные исключительно по целевому назначению, известному самому их субъекту, исключив их участие в каких-либо неправомерных действиях.

Согласие на обработку персональных данных на сегодняшний день является нормативным требованием в любых взаимодействиях с государственными и муниципальными органами, медицинскими службами, образовательными, спортивными, финансовыми, страховыми учреждениями, компанией-работодателем и т.д. — везде, где фигурируют личные данные гражданина, он должен дать персональное согласие на их использование.

Правила составления согласия на обработку персональных данных

Согласно Закону “О персональных данных”, письменное согласие на обработку личной информации должно нести максимально конкретный и достоверный характер предоставляемых сведений, при этом его заполнение является добровольной акцией самого субъекта такой информации.

Утвержденного на законодательном уровне стандарта заполнения такого документа нет — заявление-согласие составляется по общепринятому в организации образцу (либо в произвольном формате). Вместе с тем закон требует соблюдения требований по изложению следующих категорий данных в таком бланке:

  • реквизиты организации, выступающей заинтересованной в получении информации стороны;
  • реквизиты уполномоченного на прием данных сотрудника учреждения, куда подаются сведения;
  • дата и место написания заявления-согласия;
  • данные субъекта информирования — ФИО, реквизиты паспорта или иного документа, удостоверяющего персону, адрес проживания.

Основную часть заявления-согласия составляют следующие параметры:

  • конкретный перечень персональных данных, которые передает субъект заинтересованной стороне;
  • цели получения информации;
  • срок действия разрешения от субъекта персональной информации;
  • условия возможности отзыва документа.

Важным моментом изложения является декларация того, что передача информации несет добровольный характер, и разрешение составляется без какого-либо принуждения. Документ в обязательном порядке визируется подписью субъекта информирования.

Образец документа: шаблон заявления-согласия на обработку персональных данных можно скачать поссылке.

Сроки действия согласия на обработку личной информации

Регламентированный временной промежуток действия согласия на обработку персональных данных — обязательный реквизит документа. Согласно Закону “О персональных данных”, их хранение не может производиться дольше, чем необходимо в соответствии с целями их использования. Иными словами, срок действия разрешения на обработку личной информации не должен превышать срок взаимодействия субъекта и организации, прописанного в основном договоре (трудовом, банковском, соглашении о предоставлении услуг и пр.).

Передаваемые личные сведения должны быть уничтожены по факту реализации целей их использования либо же при отсутствии необходимости достижения таких целей. Срок действия согласия на обработку личной информации может определяться конкретной датой либо же моментом завершения обработки данных и статуса их ненадобности.

Законодательная база в вопросах обработки персональных данных

Основным нормативным актом, регулирующих принципы, порядок, условия обработки личных сведений данных граждан, является Закон “О персональных данных” (ФЗ №152-ФЗ от 27 июня 2006 года). В данном федеральном законе также содержится декларация прав и обязанностей стороны-получателя в процессе осуществления сбора личной информации, ответственности за нарушения нормативного регламента.

Статья 13.11 КоАП РФ содержит развернутый перечень того, что запрещается при обработке персональной информации, а также меры ответственности за каждый проступок.

В семи частях документа описываются такие правонарушения, как сбор информации, когда это не предусмотрено законом, получение информации без подписанного согласия, отсутствие информирования субъекта о целях получения данных о нем, нарушение порядка передачи и хранения информации, случайное или умышленное разглашение сведений — данные деяния находятся под законодательным запретом и предполагают серьезные меры административной ответственности.

Уголовные меры наказания — не только штрафы, но также исправительные работы и даже тюремное заключение предусмотрены за умышленное разглашение персональных данных и неправомерное их использование без согласия владельца в том случае, если эти действия наносят вред частной жизни граждан. Пояснения состава преступления в данных действиях излагаются в Статье 137 Уголовного кодекса РФ.

В заключение подчеркнем: согласие на обработку персональных данных служит нормативным условием реализации правомерных действий по сбору, обработке и хранении персонализированных сведений о гражданах РФ. Документ не имеет регламентированного государственного стандарта, однако законодательство выдвигает ряд требований к содержанию в нем обязательной информации. В компетенции заинтересованной стороны — разработка шаблона с учетом всех необходимых параметров персональных данных исходя из целей их использования.

Дорогие читатели, каждый случай индивидуален. Если вы хотите узнать, как решить именно Вашу проблему, звоните по телефонам:

  • Москва: +7 (499) 110-33-98.
  • Санкт-Петербург: +7 (812) 407-22-74.
  • Регионы: +7 (800) 600-36-17.

Или задайте вопрос юристу на сайте. Это быстро и бесплатно!

Рейтинг автора 79 Автор статьи Виталий Куракин Юрист Написано статей 296
>Какие сроки хранения персональных данных работников в электронных системах?> Вопрос

Какие сроки хранения персональных данных работников в электронных системах?

Ответ на вопрос:

В организации персональные данные сотрудников содержатся в их личных карточках и личных делах (если они ведутся). Все персональные данные сотрудника можно получить только от него самого. Если персональные сведения возможно получить только от третьих лиц, то сначала уведомите об этом сотрудника и получите от него письменное согласие. При этом сообщите сотруднику о целях, предполагаемых источниках и способах получения персональных данных. Кроме того, известите его о характере подлежащих получению персональных данных и о последствиях отказа сотрудника дать согласие на их получение. Такой порядок предусмотрен в пункте 3 части 1 статьи 86 Трудового кодекса РФ.

Большинство организаций используют электронные системы хранения и обработки персональных данных.

Читайте о видах персональных данных, чтобы не совершать ошибок.

При обработке таких данных работодатель должен обеспечить их защиту в соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными Постановлением Правительства РФ от 01.11.2012 N 1119.

Сроки, в течение которых нужно хранить документы по личному составу, указаны в статье 22.1 Закона от 22 октября 2004 г. № 125-ФЗ и перечне, утвержденном приказом Минкультуры России от 25 августа 2010 г. № 558. Началом срока хранения документов считается 1 января года, следующего за годом, в котором они были составлены (абз. 4 п. 1.4 перечня, утвержденного приказом Минкультуры России от 25 августа 2010 г. № 558).

Согласно п. 666 Перечня документы (заявления работника о согласии на обработку персональных данных, сведения, уведомления) о субъекте персональных данных хранятся 75 лет.

Вам будет полезно узнать о сроках хранения электронных документов в материале по ссылке.

Итак, в общем случае документы нужно хранить не менее 75 лет, если они созданы до 2003 года. Если указанные документы созданы после 2003 года, то их нужно хранить не менее 50 лет.

Сроки хранения касаются и электронных документов, содержащих персональные данные.

При этом отметим также, что хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом (ст. 5 Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 21.07.2014) «О персональных данных» (с изм. и доп., вступ. в силу с 01.09.2015).

Подробности в материалах Системы Кадры:

1. Ситуация: Сколько лет нужно хранить кадровые документы

Сроки, в течение которых нужно хранить документы по личному составу, указаны в статье 22.1 Закона от 22 октября 2004 г. № 125-ФЗ и перечне, утвержденном приказом Минкультуры России от 25 августа 2010 г. № 558. Началом срока хранения документов считается 1 января года, следующего за годом, в котором они были составлены (абз. 4 п. 1.4 перечня, утвержденного приказом Минкультуры России от 25 августа 2010 г. № 558).

Так, приказы о приеме на работу, переводе, увольнении, об отпуске без сохранения зарплаты и другие приказы по личному составу, а также заявления сотрудников, если они хранятся в их личных делах, в общем случае нужно хранить не менее 75 лет, если они созданы до 2003 года. Если указанные документы созданы после 2003 года, то их нужно хранить не менее 50 лет.

Трудовые договоры, личные карточки и личные дела сотрудников также нужно хранить в течение 75 лет, если они созданы до 2003 года, или в течение 50 лет, если они созданы после 2003 года, а личные дела руководителей – постоянно. Также постоянно положено хранить штатное расписание.

При этом любые документы по личному составу, которые образовались в период госслужбы, не являющейся государственной гражданской службой, нужно хранить 75 лет независимо от даты их создания.

Такой порядок предусмотрен в статье 22.1 Закона от 22 октября 2004 г. № 125-ФЗ.

Приказы о предоставлении ежегодных и учебных отпусков, направлении в командировки на территории России (равно как и другие документы о командировках: задания, отчеты и т. п.), а также приказы о взысканиях и заявления сотрудников, если они хранятся отдельно, а не в личных делах, достаточно хранить только пять лет.

Такой вывод следует из пунктов 19 и 665 перечня, утвержденного приказом Минкультуры России от 25 августа 2010 г. № 558.

Внимание: изменения в сроки хранения документов по личному составу, которые внесла статья 22.1 Закона от 22 октября 2004 г. № 125-ФЗ, касаются только документов, срок хранения которых ранее составлял 75 лет. При этом законодатели допустили недоработку, поскольку формально добились увеличения сроков хранения для всех групп документов по личному составу. А именно для тех, по которым предусмотрен срок хранения пять лет согласно пунктам 19 и 665 перечня, утвержденного приказом Минкультуры России от 25 августа 2010 г. № 558. В настоящее время готовится законопроект, который внесет изменения в Закон от 22 октября 2004 г. № 125-ФЗ и устранит возникшую недоработку. Как разъясняют специалисты Роструда, до принятия этих изменений следует применять сложившуюся систему определения сроков хранения документов согласно перечню, утвержденному приказом Минкультуры России от 25 августа 2010 г. № 558, во избежание каких-либо недоразумений и штрафов и не выделять к уничтожению документы по личному составу.

Материалы по аттестации рабочих мест следует хранить 45 лет, а при тяжелых, вредных или опасных условиях труда – 75 лет.

Правила трудового распорядка храните даже после замены их новыми. Срок хранения – один год. Годичный срок хранения установлен и для графиков отпусков.

Срок, в течение которого нужно хранить документы, подтверждающие, что сотрудник получил образование за счет организации, обусловлен требованиями налогового законодательства. Дело в том, что пунктом 3 статьи 264 Налогового кодекса РФ установлено, что для списания данных затрат в уменьшение налогооблагаемой прибыли организация должна хранить все подтверждающие обучение документы (договор с образовательным учреждением, приказ руководителя о направлении сотрудника на обучение, акт об оказании услуг, диплом, аттестат, сертификат и т. п.). Их срок хранения ограничивается сроком действия договора обучения и одним годом работы сотрудника, но не менее четырех лет.

Нина Ковязина,

заместитель директора департамента медицинского образования и кадровой политики в здравоохранении Минздрава России

2. Журналы и книги:

№2Февраль 2016

Андрей Слепов, старший юрист, руководитель практики трудового и миграционного права международной юридической фирмы БАЙТЕН БУРКХАРДТ

Специфика

Трудовой договор

Хранение персональных данных в России. Какие особенности есть для сведений о работниках

  1. Считается ли архив с личными делами работников базой данных
  2. Кто вправе не сообщать в Роскомнадзор об обработке персональных данных
  3. Как составить согласие работника на обработку данных при переходе на аутсорсинг

С осени 2015 года Базы данных с персональной информацией о россиянах нужно хранить в России. правда, в законе есть норма, которая допускает исключение для сведений о работниках. Но сформулирована она неоднозначно. Как ее будут применять Роскомнадзор и трактовать суды — пока неясно.

С 1 сентября 2015 года вступили в силу поправки в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ) и некоторые другие законы. Изменения касаются локализации баз персональных данных в России (Федеральный закон от 21.07.2014 № 242-ФЗ; далее — Закон № 242-ФЗ). Главное требование — обрабатывать персональные данные граждан России на территории страны. Контролировать это правило будет Роскомнадзор. Именно в это ведомство нужно отправить уведомление о начале обработки персональных данных. Не забудьте указать адрес нахождения базы данных и наименование системы, например, 1С. Если сведения изменятся, то отправьте информационное письмо. Бланк и формулировку придумывать не придется. Нужные формы уже утверждены.

И, конечно, контролируйте сохранность сведений о работниках. Ограничьте доступ к персональным данным и определите, кто имеет право работать с трудовыми книжками, личными делами и зарплатными ведомостями.

Хранение персональных данных

Что такое локализация баз данных и на кого она распространяется?

Суть локализации базы данных в том, чтобы хранить информацию с персональными данными граждан России на территории страны. Причем не важно, собрал работодатель сведения на бумажных носителях или через интернет. Это следует из ч. 5 ст. 18 Закона № 152-ФЗ, п. 7 ч. 1 ст. 16 Федерального закона от 27.07.2006 № 149-ФЗ (далее — Закон № 149-ФЗ).

Пример базы данных с персональными данными — это таблица с информацией о клиентах, контактных лицах клиентов компании. Работа с такой базой предполагает:
— хранение,
— накопление,
— уточнение,
— систематизацию и др. виды обработки.

Правило о локализации баз данных в первую очередь затрагивает интересы организаций, которые входят в международные группы компаний, и филиалы (представительства) иностранных фирм. Но оно также может коснуться российских компаний, например, использующих услуги провайдеров облачных сервисов; часто серверные мощности, предоставляемые такими провайдерами, находятся за границей.

Можно ли хранить базу данных на сотрудников за границей?

До того, как появятся однозначные официальные разъяснения и судебная практика по данному виду споров, рекомендуется хранить базы данных сотрудников на территории России.

Со временем работодатель сформирует базы данных:
— на персонал (работающий, уволенный);
— контрагентов (ФИО директоров, главных бухгалтеров и других ключевых фигур);
— клиентов (с адресами доставки и другими данными).

Формально персональные данные работников работодатель вправе обрабатывать не только на территории России, но и за границей. Ведь ч. 5 ст. 18 Закона № 152-ФЗ не запрещает трансграничную передачу данных. Кроме того, есть исключения из правила о локализации баз данных. Например, когда работодатель обрабатывает персональные данные для достижения целей, предусмотренных законом. Или если работодатель выполняет функции, полномочия и обязанности, которые возложены на него законодательством.

Работодатель обязан собрать и обработать данные о работнике при заключении трудового договора (ст.ст. 57, 64 ТК РФ). Так, в каждом договоре указываются его ФИО и паспортные данные, а эта информация — персональные данные (п. 1 ст. 3 Закона № 152-ФЗ). В последующем работодатель также собирает и обрабатывает сведения о работнике, например, о статусе одинокой матери при принятии решения об увольнении (ч. 2 ст. 179, ч. 4 ст. 261 ТК РФ). То есть персональные данные обрабатываются, чтобы выполнить требования закона.

На заметку:

персональные данные — любая информация, по которой можно определить, что речь идет о конкретном работнике (п. 1 ст. 3 Закона № 152-ФЗ, подп. «а» ст. 2 Конвенции о защите физических лиц при автоматизированной обработке персональных данных, заключена в г. Страсбурге 28.01.1981).

Однако спорным является то, насколько необходима обработка данных за рубежом.

В январе 2015 года Минкомсвязи выпустило неофициальное разъяснение (письмо от 19.01.2015 № П12-722-ОГ). Мнение чиновников было выгодно для работодателей – иностранных компаний, которые действуют в России через представительство или филиал. Позиция Минкомсвязи такова: на оператора-работодателя в отношении обработки персональных данных работника требования Закона № 242-ФЗ не распространяются.

Этот подход логичен. Например, компания открывает в России небольшое представительство, в котором отсутствует кадровый работник. Вопросы кадров решают сотрудники головного офиса или иностранного регионального центра. В такой ситуации обосновано, что база данных находится за пределами России.

Но уже в августе 2015 года чиновники из Минкомсвязи скорректировали позицию. Она стала менее категоричной: правильно ли работодатель применил исключение из ч. 5 ст. 18 Закона № 152-ФЗ — проверит Роскомнадзор при контрольных мероприятиях. Разъяснения включены в раздел «Ответы на часто задаваемые вопросы».

Поэтому лучше хранить информацию о работниках на территории России. Если этому мешают организационные моменты, нужно будет доказать, что работодатель обрабатывает персональные данные за пределами РФ в силу закона.

К слову сказать:

положение об обработке персональных данных нужно разработать в каждой компании (ст. 86–88 ТК РФ). И не забудьте ознакомить с положением каждого работника при приеме на работу (ч. 3 ст. 68 ТК РФ).

Шкаф с личными делами работников — это база данных или нет?

Вы узнаете больше об изменении персональных данных работника, если перейдете в материал.

Роскомнадзор рассматривает шкаф как базу данных, а Минкомсвязи — нет. Судебной практики по данному вопросу нет.

Минкомсвязи считает, что база данных может быть только электронной. При этом чиновники ссылаются на ст. 1260 ГК РФ; в ней раскрыто понятие «база данных». Под базой данных понимают систематизированные материалы, которые можно найти и обработать с помощью электронно-вычислительной машины (ЭВМ). К материалам относятся статьи, расчеты, нормативные акты, судебные решения и иные подобные материалы.

Роскомнадзор к базам данных относит, в том числе:
— электронные файлы в формате Excel или Word (списки, таблицы);
— архивы, картотеки на бумажных носителях.

Свою позицию чиновники разъяснили в письме от 19.01.2015 № 08АП-3572. Вывод обосновали ст. 2 Модельного закона о персональных данных (принят в г. Санкт-Петербурге 16.10.1999).

Цитируем документ
«База персональных данных — упорядоченный массив персональных данных, независимый от вида материального носителя информации и используемых средств его обработки (архивы, картотеки, электронные базы данных)».

Пока не ясно, какая позиция возобладает на практике. Представляется, что позиция Минкомсвязи, которая основана на российском законодательстве, имеет больше шансов стать основной. Но проверять компанию на соблюдение законодательства о персональных данных будет Роскомнадзор (п. 1 Положения, утв. постановлением Правительства РФ от 16.03.2009 № 228). Поэтому до появления судебной практики и официальных разъяснений можно рассматривать шкаф с личными делами как базу данных. На что влияет объем понятия базы данных — раскрывается в настоящей статье ниже.

На какой территории можно обрабатывать данные повторно, если их собрали и сохранили в России?

Вторичную (последующую) обработку персональных данных в форме хранения и иным образом, указанном в Законе № 242-ФЗ, нужно вести в России. Несмотря на неоднозначные разъяснения Минкомсвязи, это наиболее безопасный способ обработки персональных данных.

На официальном сайте Минкомсвязи чиновники отвечают на конкретные вопросы работодателей (http://www.minsvyaz.ru/ru/personaldata/). Из некоторых ответов можно сделать противоположные выводы.

Локализация баз нужна только при первичном сборе данных. В части 5 ст. 18 Закона № 152-ФЗ говорится только о первичном сборе персональных данных. Например, работодатель при найме внес персональные данные работника в трудовой договор, личную карточку и программу 1С, которые хранятся в России. Значит, он выполнил требование Закона № 242-ФЗ. Если работодатель внесет (скопирует) данные в том же или меньшем объеме в иностранную систему (к примеру, SAP или Oracle), то закон он не нарушит (http://www.minsvyaz.ru/ru/personaldata/#1438548218895).

На заметку:

работника, который имел доступ к персональным данным коллег и разгласил их, можно уволить «по статье». В этом случае применяйте подп. «в» п. 6 ч. 1 ст. 81 ТК РФ.

Локализация баз нужна при любом сборе данных. Понятия «первичный сбор» персональных данных не существует. Такая трактовка ч. 5 ст. 18 Закона № 152-ФЗ ошибочна. В Законе № 242-ФЗ установлены требования к локализации персональных данных при любом их сборе. Поэтому хранить сведения, систематизировать их или уточнять нужно в базах данных, которые находятся на территории России. Работодатель нарушит закон, если, например, скопирует данные из системы 1С в CRM с сервером за пределами России (http://www.minsvyaz.ru/ru/personaldata/#1438172543230).

Позиция о необходимости локализации базы данных только при первичном сборе информации в большей степени отвечает интересам работодателей. Но стоит признать, что полностью обосновать ее нормами закона сложно. Так, тезис о том, что под сбором персональных данных понимается их получение непосредственно от субъекта, например от кандидата при найме, не согласуется с ч. 3 ст. 18 «Обязанности оператора при сборе персональных данных» Закона № 152-ФЗ. По этой норме данные можно получить от третьих лиц.

Роскомнадзор уже несколько месяцев проводит плановые проверки работодателей на соблюдение законодательства о локализации баз данных. В 2015 году контролеры не выявили нарушений в части локализации у организаций, которые предположительно используют иностранные базы данных. В частности, в декабре 2015 года успешно прошло проверку ООО «Дженерал Моторз Авто» (https://proverki.gov.ru). Однако показательным будет 2016 год, когда пройдут массовые проверки в крупных компаниях с иностранным участием (http://rkn.gov.ru/news/rsoc/news37043.htm).

Уведомление об обработке персональных данных

В каких случаях нужно уведомить Роскомнадзор об обработке персональных данных?

Если компания обрабатывает персональные данные не только работников и контрагентов — физических лиц. То есть фактически любая компания обязана уведомить чиновников об обработке персональных данных.

По общему правилу работодатель обязан направить в Роскомнадзор уведомление о начале обработки персональных данных (ч. 1 ст. 22 Закона № 152-ФЗ). Многие компании до сих пор этого не сделали. Они обосновывают это так: работодатель обрабатывает персональные данные только своих работников. Поэтому компания подпадает под исключение, которое установлено в п. 1 ч. 2 ст. 22 Закона № 152-ФЗ. Согласно этой норме работодатель вправе обрабатывать персональные данные в соответствии с трудовым законодательством без уведомления Роскомнадзора.

Но в большинстве случаев позиция о том, что уведомление не требуется, ошибочная. Ведь работодатель обрабатывает данные не только работников, но и других субъектов. Например, представителей контрагентов при получении доверенностей или работников других компаний, входящих в одну группу с работодателем. В таких случаях рекомендуется направить уведомление в Роскомнадзор.

По какой форме нужно уведомить Роскомнадзор?

дней — срок, в течение которого Роскомнадзор внесет сведения о компании в реестр операторов.

Уведомление можно подать в форме электронного документа, лично или через почту. В последнем случае воспользуйтесь формой из приложения № 2 к Административному регламенту (утв. приказом Минкомсвязи России от 21.12.2011 № 346 с изм. от 28.08.2015; далее — Административный регламент).

Включите в уведомление сведения о персональных данных работников (п. 7 Временных рекомендаций по заполнению формы уведомления, утв. Роскомнадзором 30.12.2014). Исключения, установленные в ч. 2 ст. 22 Закона № 152-ФЗ, в данном случае неприменимы.

Роскомнадзор внесет информацию из уведомления в реестр операторов в течение 30 дней с даты получения документа. Платить деньги за это не нужно (ч. 4, ч. 5 ст. 22 Закона № 152-ФЗ).

Статья о назначении ответственного за персональные данные поможет вам не допускать ошибок в работе.

Работодатели, которые не уведомили Роскомнадзор, рискуют получить письмо от чиновников. В ответ на него работодатели будут обязаны направить уведомление или обосновать причины его ненаправления. В последнем случае увеличивается риск проверки Роскомнадзором соответствия действительности такого рода обоснования. Так, согласно ежегодному отчету за 2014 год Роскомнадзор направил операторам более 58 тыс. таких писем (http:// rkn.gov.ru/docs/Otchet_ZPD_rus.pdf).

интересный вопрос

Как указать в уведомлении в Роскомнадзор наименование базы данных и ее местонахождение?

Укажите в уведомлении фактический адрес, где работодатель хранит базу данных. В качестве наименования отразите название информационной системы.

С 1 сентября 2015 года приказ Минкомсвязи России от 28.08.2015 № 315 внес изменения в Административный регламент. Форму уведомления об обработке персональных данных дополнили графами, куда нужно вписать:
— страну нахождения базы данных;
— адрес ее местонахождения;
— наименование информационной системы (базы данных).

Укажите эти сведения, например, так: «Система 1С, расположенная по адресу: Российская Федерация, г. Москва, индекс 100000, улица Зимняя, дом 10».

Как составить уведомление на несколько информационных систем (баз данных)?

В бумажном уведомлении об обработке персональных данных перечислите сведения о каждой базе.

В компании бывает несколько (иногда несколько десятков) информационных систем (баз данных). Например, по бухгалтерскому учету, обучению работников, их оценке и т. д. Представляется, что нужно указывать информацию по всем таким системам.

В электронной форме уведомления на сайте Роскомнадзора можно указать несколько информационных систем с подробным описанием их характеристик (http://pd.rkn.gov.ru/operators-registry/notification/form/). При этом электронная форма предполагает конкретизацию, которая не предусмотрена ни Законом № 152-ФЗ, ни Административным регламентом. Так, работодателю предлагается отразить, является ли центр обработки данных его собственностью или работодатель использует внешний центр (например, арендует его).

Если в уведомлении в качестве места нахождения базы данных будет указано иностранное государство, то, скорее всего, Роскомнадзор проверит компанию. Тогда велик риск того, что компанию привлекут к административной ответственности. Об этом 11 ноября 2015 года упомянула заместитель руководителя Роскомнадзора А. А. Приезжева на ежегодной конференции, посвященной защите персональных данных (http://zpd-forum.com/programm.html).

Те работодатели, которые отправили уведомление до 01.09.2015, по мнению Минкомсвязи, были обязаны направить в Роскомнадзор сведения о месте нахождения базы данных до 15.09.2015. Такое разъяснение приведено на официальном сайте — http://www.minsvyaz.ru/ru/personaldata/answers/#1438781125045.

Но наказать компанию за непредоставление дополнительной информации о месте нахождения баз данных контролеры не могут — истек 3-месячный срок давности для привлечения к административной ответственности. Более того, с учетом ч. 7 ст. 22 Закона № 152-ФЗ необходимость дополнительного уведомления является спорной. Ведь сведения об операторе (работодателе) и обработке данных остались прежними. Изменились требования закона.

Что делать, если данные из уведомления поменялись?

Если сведения из уведомления изменятся, то отправьте в Роскомнадзор информационное письмо. На это отводится 10 рабочих дней с даты изменений. Форма письма приведена в приложении № 3 к Административному регламенту. Ранее эти сведения работодатель предоставлял в свободной форме.

Виды нарушений при обработке персональных данных

дней — срок для уничтожения электронного резюме после приема на работу или отказа кандидату.

За что чаще всего наказывают работодателей?

Когда работодатели обрабатывают персональные данные работников, то допускают ряд нарушений. Рассмотрим основные ошибки.

Не приняты меры для сохранения персональных данных (постановление Волгоградского областного суда от 15.04.2011 № 7а-392/11). В задачи работодателя входит защита персональных данных работников (п. 7 ст. 86 ТК РФ). Часть компаний игнорирует это правило. В итоге документы теряются, к персональным данным получают доступ третьи лица.

Чтобы сохранить персональные данные, например, на бумажных носителях, используйте Положение, утвержденное постановлением Правительства РФ от 15.09.2008 № 687. Для этого:
— определите места хранения личных дел, трудовых книжек, архива. В этих целях используйте локальный акт;
— установите перечень лиц, которые будут обрабатывать персональные данные. В локальном акте укажите должности, например, начальник отдела кадров, бухгалтер по расчету зарплаты. А в приказе — конкретные ФИО работников;
— зафиксируйте меры для сохранности персональных данных. Пропишите, что работники с доступом к персональным данным обязаны использовать ключи для запирания шкафов с такими данными и не передавать их посторонним.

Нет согласия работника на обработку персональных данных. Нередко работодатели обрабатывают информацию о работнике без его письменного согласия. Еще одно нарушение — согласие получено, но его содержание не соответствует требованиям Закона № 152-ФЗ.

В рамках трудовых отношений обрабатывать данные работников можно без согласия. Например, оно не требуется для заполнения и хранения трудового договора или личной карточки. Это следует из п. 2 ч. 1 ст. 6 Закона № 152-ФЗ, п. 1 ст. 86 ТК РФ, абз. 1 Разъяснений Роскомнадзора «Вопросы, касающиеся обработки персональных данных…» (далее — Разъяснения).

Но есть исключения. Например, ситуация с анкетами кандидатов. Работодатели часто предлагают соискателям заполнить опросники, анкеты. Чтобы получить согласие соискателя на обработку персональных данных, предусмотрите в электронной форме специальное поле. На это указал Роскомнадзор в абз. 17 п. 5 Разъяснений.

Согласие работника требуется и если работодатель передает расчет зарплаты на аутсорсинг (абз. 2 ст. 88 ТК РФ). В данном случае доступ к персональным данным получает третья сторона. Перед тем, как работник подпишет согласие, проконтролируйте, есть ли в нем обязательный реквизит — название и адрес привлеченной организации, которая будет рассчитывать заработную плату. Она станет лицом, которое будет осуществлять обработку персональных данных по поручению оператора-работодателя.

рабочих дней — в такой срок нужно направить в Роскомнадзор письмо об изменении сведений об операторе.

Персональные данные обрабатываются после того, как достигнута цель. Работодатели часто забывают, что у них хранятся персональные данные, которые стали ненужными. Например, резюме кандидатов, которые поступили по электронной почте. Их нужно уничтожить не позднее 30 дней с момента принятия решения о приеме либо отказе в найме (ч. 4 ст. 21 Закона № 152-ФЗ). Оставить электронные документы нельзя, поскольку в законе для них нет сроков хранения. Для большинства бумажных носителей (трудовые договоры, приказы, личные карточки и т. д.) установлены длительные сроки хранения (ст. ст. 19, 657, 658 Перечня, утв. приказом Минкультуры России от 25.08.2010 № 558).

С 01.09.2015 у Роскомнадзора больше свободы при проверках. На них не распространяется Федеральный закон от 26.12.2008 № 294-ФЗ. Но это не абсолютная свобода. Правила проведения проверок установлены в Административном регламенте (утв. приказом Минкомсвязи России от 14.11.2011 № 312). Он во многом базируется на положениях Закона № 294-ФЗ и процессуальные гарантии продолжают действовать. Правительство РФ разрабатывает новый порядок проведения проверок. Но пока он не принят.

Хранение и использование персональных данных работников

Энциклопедия Сервиса бесплатных юридических консультаций » Трудовые споры » Защита прав работников » Хранение и использование персональных данных работников

Чтобы обезопасить граждан от неправомерного использования личных данных трудовым законодательством разрабатываются специальные нормативные акты.

Трудовые отношения предусматривают составление специальной документации и заключение трудовых договоров, распоряжений и приказов. Обязательным условием для подписания данных бумаг является внесение достоверных личных данных сторон (инициалов, фактического адреса, сведений о рабочей квалификации, должностных обязанностях и др.).

Чтобы обезопасить граждан от неправомерного использования личных данных трудовым законодательством разрабатываются специальные нормативные акты, в которых регламентируется обработка, передача и защита информации о сотрудниках работодателем. Поэтому все работодатели обязаны соблюдать порядок хранения и использования персональных данных работников.

Хранение персональных данных работников

Специальное нормативное положение, в котором определяются правила по распоряжению личной информацией сотрудников работодателем, предусматривает соблюдение определенных требований:

  • конкретная форма, в которой хранятся личные данные сотрудников, должна соответствовать всем требованиям и полностью идентифицировать субъекта личной информации;
  • срок сохранения информации не должен превышать времени, которого будет достаточно для воплощения целей, в соответствии с которой требуется обработка;
  • данные необходимо уничтожать непосредственно после достижения всех целей, для которых была организована обработка информации;
  • информация должна быть удалена в случае отсутствия необходимости дальнейшей обработки и использования данных.

Обработка, передача и защита личных сведений сотрудников поручается ответственному оператору, который должен соблюдать все правила и специальное законодательное положение. Если же по каким-либо причинам должностное лицо не может самостоятельно выполнять свои прямые обязанности, то он должен поручить обработку и защиту информационных данных иному сотруднику на основании официально заключенного договора.

Важнейшим условием данного документа является указание специальной обязанности, в соответствии с которой обеспечивается обработка, передача и защита личной информации при соблюдении конфиденциальности и полной безопасности.

Кто имеет право обрабатывать и использовать персональные данные

Должностные лица, которые сталкиваются с обработкой и сохранением личной информации сотрудников, должны исполнять специальное положение. Подобные документы и правила составляются работодателем, а также чаще всего издаются в форме должностных инструкций, коллективных и индивидуальных трудовых договоров и др.

Положение или распоряжение включает правила защиты данных сотрудников, устанавливает перечень лиц, которым подлежит обработка и эксплуатация информации, срок обработки, основания и условия предоставления информации и др.

Хранение и использование личной информации сотрудников входит в компетенцию должностных лиц, которые назначаются непосредственно работодателем. В обязанности данных граждан входит соблюдение всех норм по обработке и распоряжению личными данными подчиненных. Законодательными актами регламентируется срок, правила, а также перечень лиц на руководящих должностях, которые должны работать с личной информацией сотрудников:

  • главный специалист, который занимается защитой данных;
  • заместитель директора, в обязанности которого входит администрирование персоналом;
  • менеджер по управлению персоналом;
  • начальных отдела кадров.

На предприятиях и в компаниях обработка и сохранение личной информации также поручается рядовым работникам, например, бухгалтерам, инженерам по защите информации, управлению и подготовке кадров, документоводам, специалистам по защите данных и др.

Рядовые исполнительные должностные лица также сталкиваются с использованием и защитой информации в процессе выполнения своих обязанностей, например, секретари, референты, инспекторы и др., которые принимают заявления и различные документы.

Порядок хранения персональных данных работников

Должностное лицо обязано соблюдать специальное положение, в котором регламентируется обработка, сохранение и защита личной информации, личных дел сотрудников. Правила и порядок эксплуатации должны соблюдаться стороной работодателей. Данные лица должны обеспечить выполнение следующих функций:

  • составление и хранение первичной документации, которая издается в унифицированной форме;
  • сохранность бумаг, в которых ведется учет рабочих кадров;
  • хранение документации, в которой учитывается специфика распределения рабочего времени;
  • сохранность пакета документов, в котором ведется расчет об оплате труда рабочему персоналу.

Порядок и срок сохранения личной информации гражданских служащих определяет трудовое законодательство, а также специальное ведомственное положение.

Срок хранения

Специальное положение о сохранении и защите личной информации регламентирует срок, в пределах которого допускается использование и хранение личных данных. Соответственно, трудовые книжки и дубликаты, которые не были забраны или в случае смерти работников, размещаются в активах предприятиях на срок до востребования. Если же такие документы относятся к классу невостребованных бумаг, то они размещаются в архивах компаний на срок не менее пятидесяти лет.

Положение, в котором определяется специфика индивидуального учета в системе пенсионного страхования, устанавливает срок сохранения личных данных граждан работниками государственного пенсионного фонда. Срок хранения таких бумаг составляет не менее шести лет. Данные документы должны соответствовать следующим требованиям:

  • содержать в себе какие-либо данные об индивидуальном счете лица, которое застраховано программой социального страхования;
  • быть оформлены в установленной письменной форме и заверены соответствующими подписями граждан;
  • быть представлены в электронной форме, так как юридическая сила таких документов должна подтверждаться электронной цифровой подписью, при условии соблюдения законной процедуры подписания;
  • содержать в себе данные о всех страховых взносах лиц и страховом стаже граждан;
  • предоставляться работодателями в государственные заведения по пенсионному страхованию с целью индивидуального учета граждан в общей системе обязательного страхования для предоставления социальных пенсий.

Иные документы, которые содержат в себе данные о пенсионном страховании, хранятся в архивах пенсионных учреждений не мене трех лет. Соответствующие документы подлежат уничтожению, когда срок их хранения истекает.

В таком случае уничтожение бумаг возможно исключительно после факта ознакомления застрахованным лицом со всеми данными о лицевом счете и страховом стаже.

Акты, в которых указываются случаи расследований профессиональных заболеваний должны храниться не менее 75 лет в активах государственного учреждения, которое специализируется на санитарно-эпидемиологическом надзоре и вело дело о расследовании конкретного происшествия. Работодатели должны хранить следующие документы на протяжении 45 лет с копиями и материалами расследования:

  • акты о несчастных случаях на производстве;
  • акты о несчастных случаях, которые касаются группы лиц;
  • документы о расследовании тяжелого несчастного случая;
  • бумаги о несчастных случаях сл смертельным исходом и др.

Нормативные акты о защите данных

При разработке локальных нормативных актов, которые касаются защиты личной информации сотрудников, учитывается законодательное положение, а также специфика работы предприятия. В соответствующих нормативных актах регламентируются следующие положения:

  • перечень личной информации сотрудников, которые нужны работодателю для выполнения всех трудовых обязанностей;
  • список лиц, которые имеют право получать личные данные;
  • правила хранения, обработки, передачи, защиты и предоставления личной информации;
  • должностное лицо, которое имеет право хранить персональные данные сотрудников, а также осуществлять контроль за процессом сохранения информации.

Помимо обязанностей работодателя, нормативные акты включают перечень прав и обязанностей сотрудников, которые касаются необходимости предоставления достоверной информации, а также обеспечения надежного хранения данных и соблюдения конфиденциальности.

5 шагов по организации учета и хранения персональных данных

Систематизируйте или обновите знания, получите практические навыки и найдите ответы на свои вопросы на курсах повышения квалификации в Школе бухгалтера. Курсы разработаны с учетом профстандарта «Бухгалтер».

Работодатель, принимая сотрудника на работу, должен запросить у него определенные сведения, которые необходимы в рамках трудового, налогового и бухгалтерского законодательства. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» требует от работодателя, который в данном случае является оператором персональных данных и выполняет их обработку, обеспечить безопасность этой информации.

Какие данные являются персональными

Персональными данными является любая информация, прямо или косвенно относящаяся к субъекту персональных данных — определенному или определяемому физическому лицу (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее — Закон о персональных данных).

К общим персональным данным можно отнести следующие сведения:

  • фамилия, имя, отчество;
  • дата и место рождения;
  • адрес (место регистрации);
  • образование, профессия;
  • изображение человека (фотография и видеозапись), которое позволяет установить личность и с этой целью используется оператором (Разъяснения Роскомнадзора от 30 августа 2013 года «О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки»);
  • семейное положение, наличие детей, родственные связи;
  • факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
  • финансовое положение. Сведения о заработной плате также являются персональными данными (письмо Роскомнадзора от 07.02.2014 № 08КМ-3681);
  • деловые и иные личные качества, которые носят оценочный характер;
  • прочие сведения, которые могут идентифицировать человека.

Кроме того, в Законе о персональных данных упоминаются:

  • специальные персональные данные (касаются расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни). По общему правилу обработка этих данных не допускается. Исключение — случаи, предусмотренные частью 2 статьи 10 Закона о персональных данных;
  • биометрические персональные данные (характеризуют физиологические и биологические особенности человека, на основании которых можно идентифицировать его личность). Для обработки таких сведений необходимо согласие субъекта персональных данных. Исключение — случаи, установленные ч. 2 ст. 11 Закона о персональных данных.

Работодатель вправе получать и использовать только те сведения, которые характеризуют гражданина как сторону трудового договора (например, сведения о социальном и имущественном статусе человека не имеют отношения к его трудовому процессу). Эта информация содержится в следующих документах, предъявляемых работником при приеме на работу:

  • в паспорте или ином документе, удостоверяющем личность;
  • трудовой книжке;
  • документах о воинском учете, образовании, составе семьи;
  • справке о доходах с предыдущего места работы;
  • анкете, заполняемой при трудоустройстве;
  • личной карточке работника (форма Т-2);
  • свидетельствах о заключении брака, рождении ребенка;
  • медицинских справках и др.

У работодателя хранятся копии перечисленных документов, за исключением анкет, трудовых книжек и личных карточек.

Обработка персональных данных

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение данных (ст. 3 Закона о персональных данных).

Закон о персональных данных обязывает работодателя соблюдать определенные требования по обработке этих данных. Например, обработка персональных данных осуществляется только с согласия работника (п. 1 ст. 6, ст. 9 Закона о персональных данных). Во избежание судебных споров лучше, если это согласие будет оформлено письменно. То же самое правило действует в отношении соискателей.

В некоторых случаях письменная форма согласия прямо предусмотрена законом (ч. 4 ст. 9 Закона о персональных данных). Например, письменное согласие работника на обработку его персональных данных требуется:

1) при получении персональных данных работника у третьей стороны (п. 3 ст. 86 ТК РФ). Но в этом случае работника нужно предварительно уведомить об этом и получить его письменное согласие (п. 3 ст. 86 ТК РФ).

В уведомлении необходимо указать (п. 3 ст. 86 ТК РФ):

  • цели получения персональных данных работника у третьего лица;
  • предполагаемые источники информации (лица, у которых будут запрашиваться данные);
  • способы получения данных, их характер;
  • возможные последствия отказа работодателю в получении персональных данных работника у третьего лица. При отказе работника ознакомиться с уведомлением о предполагаемом получении его персональных данных у другого лица целесообразно составить соответствующий акт.

Если работник передумал, то в любое время вправе отозвать согласие на обработку персональных данных (ч. 2 ст. 9 Закона о персональных данных).

В такой ситуации продолжение обработки персональных данных работника без его согласия возможно при наличии веских причин. Они перечислены в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10, части 2 статьи 11 Закона о персональных данных (ч. 2 ст. 9 Закона о персональных данных).

Определенную информацию (которая не имеет отношения к перечисленным в пункте 1 статьи 86 ТК РФ целям), работодатель не вправе запрашивать у третьих лиц даже, если работник согласен.

2) при передаче персональных данных работника третьим лицам, кроме тех случаев, когда это необходимо для предупреждения угрозы жизни и здоровью работника (абз. 2 ст. 88 ТК РФ);

3) для обработки специальных категорий персональных данных работника, непосредственно связанных с вопросами трудовых отношений (п. 4 ст. 86 ТК РФ, п. 1 ч. 2 ст. 10 Закона о персональных данных). К этим данным относятся сведения о расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни.

При недееспособности работника письменное согласие на обработку его данных дает его законный представитель (родитель, опекун) (ч. 6 ст. 9 Закона о персональных данных). А в случае смерти работника такое согласие оформляют его наследники, если только оно не было получено от самого работника при его жизни (ч. 7 ст. 9 Закона о персональных данных).

Не во всех случаях требуется согласие работника на обработку персональных данных. Например, в том случае, если данные получены (п. 2 ч. 1 ст. 6, п. 2.3 ч. 2 ст. 10 Закона о персональных данных, абз. 1 Разъяснений Роскомнадзора):

  1. из документов (сведений), предъявляемых при заключении трудового договора;
  2. по результатам обязательного предварительного медицинского осмотра о состоянии здоровья (ст. 69 ТК РФ, п. 3 Разъяснений Роскомнадзора от 14 декабря 2012 года «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве», далее — Разъяснения Роскомнадзора от 14.12.2012);
  3. в объеме, предусмотренном унифицированной формой № Т-2, в том числе персональных данных близких родственников, и в иных случаях, установленных законодательством РФ (получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат) (п. 2 Разъяснений Роскомнадзора от 14.12.2012);
  4. от кадрового агентства, действующего от имени соискателя (абз. 12 п. 5 Разъяснений Роскомнадзора от 14.12.2012);
  5. от соискателя, который сам разместил свое резюме в Интернете, сделав его доступным неограниченному кругу лиц (п. 10 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ, абз. 12 п. 5 Разъяснений Роскомнадзора от 14.12.2012).

Работодатель с согласия работника может поручить обработку его персональных данных другому лицу (ч. 3 ст. 6 Закона о персональных данных, абз. 2 п. 5 Разъяснений Роскомнадзора от 14.12.2012). Но при этом именно работодатель несет ответственность перед работником за действия указанного лица (ч. 5 ст. 6 Закона о персональных данных).

Вебинары для бухгалтеров в Контур.Школе: изменения законодательства, особенности бухгалтерского и налогового учета, отчетность, зарплата и кадры, кассовые операции.

Организация учета и хранения персональных данных

Работодатель должен обеспечивать защиту персональных данных работника от неправомерного их использования или утраты за счет своих средств (п. 7 ст. 86 ТК РФ).

Разберем пошагово действия работодателя по учету и хранению персональных данных в организации.

Шаг 1. Работодатель должен издать локальный акт, который будет регулировать порядок хранения и использования персональных данных. Таким актом обычно является Положение о персональных данных работников, с которым работники должны быть ознакомлены под подпись (п. 8 ст. 86 ТК РФ). Ознакомиться с Положением о персональных данных, как и с остальными локальными нормативными актами, работник должен до подписания трудового договора (ст. 68 ТК РФ). Ознакомить работника с документом путем рассылки его по электронной почте нельзя, это не будет считаться ознакомлением под подпись. При отсутствии подписи работника работодатель не сможет доказать, что работник был ознакомлен с данным документом.

Положение о персональных данных, как и любой другой локальный нормативный акт, издается и утверждается приказом, который подписывает руководитель организации или иное уполномоченное на это лицо.

В случае проверки организации, проверяющие органы могут запросить данный документ и проверить, ознакомлены ли с ним работники. Отсутствие такого документа или неознакомление работников с ним может являться основанием для привлечения работодателя к ответственности согласно части 1 статьи 5.27 КоАП РФ, а в случае совершения аналогичного нарушения повторно — по части 2 статьи 5.27 КоАП РФ. Такой вывод также подтверждается судебной практикой (Постановление ФАС Московского округа от 26.10.2006 № КА-А40/10220-06 № А40-20745/06-148-194).

Шаг 2. Работодатель утверждает документ, содержащий перечень персональных данных, которые используются в деятельности организации. В этот документ включаются все сведения, которые работник письменно сообщает о себе при поступлении на работу, а также используемые в дальнейшем при оформлении кадровой документации.

Помимо этого в перечне должны быть указаны документы, содержащие те сведения о сотрудниках, которые организация представляет в различные государственные органы (налоговую и трудовую инспекции, органы статистики).

Шаг 3. Работодатель приказом должен назначить ответственных за работу с персональными данными и ответственных за обеспечение безопасности персональных данных. Таким ответственным может быть как конкретное лицо, так и подразделение. В последнем случае личную ответственность несет руководитель такого подразделения. Этот приказ необходимо довести до сведения всех указанных в нем сотрудников, что должно подтверждаться их подписью.

Шаг 4. На случай проверки во избежание споров с проверяющими лучше подготовить следующие документы:

  • заявления работников о согласии на обработку персональных данных;
  • журналы учета персональных данных, их выдачи и передачи другим лицам и представителям различных организаций, государственным органам;
  • журнал проверок наличия документов, содержащих персональные данные работника.

Шаг 5. Приказом руководителя организации установить перечень мест хранения документации, являющейся носителем персональных данных работников, а также перечень мер, необходимых для обеспечения сохранности персональных данных, порядок их принятия. Все документы, содержащие персональные данные работников, такие как личные дела, картотеки, учетные журналы, следует хранить в специально оборудованных шкафах или сейфах, которые запираются и опечатываются. Трудовые книжки работников нужно хранить в сейфе отдельно от личных дел.

Подведем итоги

Что можно порекомендовать работодателям во избежание привлечения к ответственности, а также дополнительных затрат в случае проведения проверок? Обязательно проверьте:

  • от всех ли работников получено согласие на обработку персональных данных;
  • ознакомлены ли работники с локальными актами, устанавливающими порядок обработки таких данных, и с их правами и обязанностями в этой области;
  • должным ли образом осуществляется хранение и защита персональных данных;
  • соответствует ли документация об их обработке требованиям законодательства и т.д.

>Срок хранения документов, содержащих персональные данные в медицинском центре

Вопрос: Какие сроки хранения документов, содержащих персональные данные в медицинском центре?

Ответ:

Руководствуясь п.7 ст.5 закона от 27.07.2006 № 152-ФЗ, срок хранения персональных данных пациента может быть установлен договором между медицинским учреждением и пациентом, если это не будет противоречить федеральному законодательству.

Обоснование ответа:

Бизнес требует навыков не только профессиональных, но предпринимательских и управленческих? Приходите в Клуб деловых игр и перговоров, прокачайте навыки руководителя! Подробнее о Переговорном клубе…

Согласно п.7 ст.5 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. При этом, обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Персональные данные могут использоваться работодателем при трудовых отношениях с работником, Пенсионным фондом, медицинскими учреждениями, страховыми компаниями, детскими учреждениями, коммунальными хозяйствами, транспортными компаниями и прочими организациями и учреждениями, работающие физическими лицами. В каждом конкретном случае необходимо обращаться к законам, регулирующие определенный вид деятельности, в отношении того на кого возложена обязанность по порядку хранения и использованию персональных данных.

Так, ст. 86, 87 Трудового кодекса РФ порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований Трудового кодекса РФ и иных федеральных законов. Соответствующие нормы необходимо закрепить в локальном нормативном акте Общества о персональных данных, где нужно указать в том числе форму (на бумажном носителе или в электронном виде), сроки и место хранения персональных данных.

Сроки хранения документов, в том числе содержащие персональные данные, определены Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения, утвержденным приказом Минкультуры РФ от 25.08.2010 № 558.

В частности, личные дела работников, подлинные личные документы (трудовые книжки, дипломы, аттестаты, удостоверения, свидетельства), трудовые договоры (служебные контракты), трудовые соглашения, договоры подряда, не вошедшие в состав личных дел, а также личные карточки работников — 75 лет. (См. Об изменении в кадровом учете в 2017 году)

Расчетные (расчетно-платежные) ведомости и документы к ним, расчетные листы на выдачу заработной платы, пособий, гонораров, материальной помощи и других выплат, заявления на получение стандартных налоговых вычетов по НДФЛ, справки по форме 2 -НДФЛ — 5 лет. (См. Об особенностях заполнения деклараций по НДФЛ

В отношении срока хранения персональных данных медицинскими учреждениями, нужно руководствоваться законодательством, регулирующего деятельность в области здравоохранения. Согласно пп.12 п.1 ст.79 Федерального закона от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в РФ» обязанность по хранению медицинской документации возложена на медицинскую организацию. Закон термина «медицинская документация» не раскрывает.

Поэтому для определения сроков хранения информации о персональных данных, можно руководствоваться приказом Минздрава России от 22.01.2001 № 12 «О введении в действие отраслевого стандарта «термины и определения системы стандартизации в здравоохранении». В соответствии с данным приказом медицинскими документами являются специальные формы документации, ведущиеся медицинским персоналом, в котором регламентируются действия, связанные с оказанием медицинских услуг. Кроме того, формы медицинских документов регламентированы приказ ом Министерства здравоохранения СССР от 04.10.1980 № 1030 (утратившим силу в 1998 году), но применяющей в соответствии с рекомендациями Минздравсоцразвития России (письмо от 30.10.2009 № 14-6/242888). С 2015 года начал действовать новый Приказ Минздрава России от 15.12.2014 № 834н «Об утверждении унифицированных форм медицинской документации, используемых в медицинских организациях, оказывающих медицинскую помощь в амбулаторных условиях, и порядков по их заполнению». К таким документам относятся медицинская карта пациента, получающего медицинскую помощь в амбулаторных условиях; медицинская карта стационарного больного; различного рода медицинские справки, выписки из амбулаторной карты, медицинской карты и другие.

Сроки хранения медицинской документации регламентированы указанным выше приказом Минкультуры РФ, а так же приказом Приказ Министерства здравоохранения СССР от 04.10.1980 № 1030. Например, медицинские карты амбулаторных больных 5 лет, медицинские карты стационарных больных- 25 лет, а различные справки – 3 года.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *